Vous êtes propriétaire d’un site web et vous souhaitez rassurer vos internautes en offrant une connexion sécurisée ? Le certificat SSL protège les connexions Internet et empêche les cybercriminels de lire ou de modifier les informations transférées entre deux systèmes. De plus, l’utilisation de SSL offre de nombreux autres avantages, tels qu’un classement favorable dans les recherches Google et une meilleure analyse du trafic de votre site web.
Le certificat SSL, qu’est-ce que c’est et à quoi ça sert ?
Définition du certificat SSL
Un certificat SSL est un certificat numérique qui authentifie l’identité d’un site web et permet une connexion cryptée. Le terme « SSL » signifie Secure Sockets Layer, un protocole de sécurité qui crée un lien crypté entre un serveur et un navigateur web.
Avec l’installation d’un certificat SSL, l’URL de votre site web passe au format HTTPS (qui signifie « HyperText Transfer Protocol Secure ») et affiche une icône de cadenas vert pour signaler que le site est sécurisé.
Depuis le début de son utilisation, il y a près de 25 ans, le protocole SSL a connu plusieurs versions et toutes ont, à un moment ou à un autre, rencontré des failles de sécurité. Une version remaniée et renommée a suivi, TLS (Transport Layer Security), qui est toujours utilisée aujourd’hui. Toutefois, les initiales SSL sont restées, de sorte que la nouvelle version du protocole est encore communément désignée par son ancien nom.
À quoi sert un certificat SSL ?
Si un site web demande aux utilisateurs de se connecter, de saisir des données personnelles telles que le numéro de carte de crédit, ou de communiquer des informations sensibles telles que des prestations de santé ou des informations financières, il est essentiel de préserver la confidentialité de ces données. Le certificat SSL contribue à préserver la sécurité des interactions en ligne et garantit aux utilisateurs l’authenticité du site et du partage des informations privées.
Ainsi, un certificat SSL permet de protéger des informations telles que :
- Identifiants de connexion
- Transactions par carte de crédit ou données de comptes bancaires
- Informations personnellement identifiables : nom complet, adresse, date de naissance, numéro de téléphone
- Documents juridiques et contrats
De plus, le certificat SSL permet aux sites internet d’avoir une URL sécurisée, commençant par HTTPS://. En plus d’améliorer la confiance des clients, c’est un aspect apprécié de la plupart des navigateurs, qui boostera votre SEO.
En résumé, le protocole SSL garantit que les données transférées entre les utilisateurs et les sites web ou entre deux systèmes ne peuvent être lues par des pirates informatiques.
Comment fonctionne le certificat SSL ?
Le certificat SSL utilise des algorithmes cryptographiques pour encoder les données en transit, ce qui empêche les pirates de les lire pendant une connexion. Ces données peuvent concerner des informations confidentielles telles que des noms, des adresses ou encore des numéros de carte de crédit.
Le processus, qui prend quelques millisecondes, se déroule comme suit : un navigateur ou un serveur tente de se connecter à un site web protégé par un certificat SSL, et lui demande de s’identifier.
En réponse, le serveur envoie une copie de son certificat SSL au navigateur ou au serveur, qui vérifie si celui-ci est fiable. Si c’est le cas, il le signale au serveur web qui renvoie alors une confirmation signée numériquement pour démarrer une session cryptée SSL.
Les données cryptées sont alors partagées entre le navigateur ou le serveur et le site web, de manière sécurisée.
Pour afficher les détails d’un certificat SSL, vous pouvez cliquer sur le symbole du cadenas dans la barre du navigateur. Vous aurez alors accès, selon les cas, aux informations suivantes :
- Le nom du domaine pour lequel le certificat a été émis
- La personne, l’organisation ou le dispositif auquel il a été délivré
- L’autorité de certification qui l’a émis et sa signature électronique
- Les sous-domaines associés
- La date à laquelle le certificat a été émis et sa date d’expiration
- La clé publique (la clé privée n’est pas divulguée)
Quels sont les types de certificats SSL ?
Le certificat SSL à validation de domaine (DV)
Il s’agit du certificat le plus simple et le plus utilisé. Seul le domaine est vérifié, par courrier électronique. Ce certificat convient aux petits sites web, forums, blogs ou serveurs de messagerie, car le cryptage adopté n’est pas aussi fort que dans les autres types de certificats SSL.
Le certificat SSL à validation d’organisation (OV)
Ce type de certificat SSL comporte également une vérification d’identité, mais dans ce cas, le propriétaire du nom de domaine doit être le même que celui de l’organisation demandant le certificat SSL (ce n’est pas toujours le cas !).
Cette option convient principalement aux sites de e-commerce, aux sites d’entreprise et aux messageries en ligne (webmail). Au moment de l’affichage, la raison sociale de l’organisation est visible, et peut être vérifiée par l’utilisateur.
Le certificat SSL à validation étendue (EV)
Ce certificat est plus sûr que ses variantes précédentes et se distingue par le fait que l’adresse de l’entreprise apparaît dans le navigateur, d’une couleur verte. La vérification se déroule comme pour la validation de l’organisation. Toutefois, l’autorité de certification vérifie plus en détail l’existence légale de la société.
Le certificat SSL indique le propriétaire, le nom de domaine, le nom de la société et son adresse. L’avantage de cette option est sa sécurité, puisque le cryptage est particulièrement visible dans le navigateur.
Comment acheter un certificat SSL ?
La première chose que vous devez savoir est combien de serveurs, d’applications et de domaines ont besoin d’une certification SSL. Ces informations sont importantes pour définir le type de certificat SSL que vous allez acheter et peuvent permettre de réduire le coût d’acquisition si le nombre de serveurs, d’applications et de domaines est important.
Le prix d’un certificat SSL dépend également du fournisseur et du niveau de sécurité souhaité. Les simples validations de domaines (DV) commencent à 10$ par an, et les SSL multi-domaines à validation étendue (EV) peuvent monter jusqu’à plus de 800$ par an.
Il existe plusieurs autorités de certification sur le marché, appelées CA, qui proposent leurs services pour sécuriser un certificat SSL sur votre site web. Les plus connues sont : GoDaddy, GeoTrust et SSL.com. Une autorité de certification est chargée d’authentifier l’identité d’entités numériques, délivre des certificats et met à disposition les moyens de vérifier les certificats qu’elle a produit.
Enfin, si vous êtes en train de créer votre site internet, vous pouvez vous procurer le certificat SSL via votre hébergeur. Si celui-ci n’est pas une autorité certifiante, il vous proposera un choix entre plusieurs éditeurs de certificats SSL.
100% gratuit - 3 min
Que valent les certificats SSL d’OVH ?
L’offre de certificats SSL d’OVH
Cet hébergeur français s’est fortement développé ces dernières années et offre ses services d’hébergements de serveurs web. Pour assurer la sécurité et la protection des sites internet qu’il héberge, OVH propose des certificats SSL de différents niveaux, pour s’adapter au mieux aux besoins de clients de tailles variées.
Il existe 3 options de SSL, exclusivement pour les sites hébergés par OVH, il s’agit de certificats :
- DV gratuit avec Let’s Encrypt, permettant d’obtenir l’URL sécurisée en protocole HTTPS
- DV payant avec Sectigo, à partir de 49,99€ par an, offrant en plus de l’option précédente, une garantie et un accès au service client d’OVH
- EV payant avec Sectigo, à partir de 99,99€ par an, permettant une validation plus approfondie du site et l’affichage du cadenas vert dans la barre de navigation
Notre avis sur le SSL d’OVH
L’offre gratuite d’OVH est très intéressante pour les sites personnels ou de petite taille, puisqu’elle inclue les certificats SSL signés par Let’s Encrypt, qui est une autorité de certification sécurisée. Ces certificats de type DV sont valables 90 jours et renouvelés de manière automatique.
Let’s Encrypt est une solution de chiffrement open source, totalement gratuite pour ses utilisateurs, mais dont la prise en main n’est pas évidente pour les non-initiés. Passer par le déploiement gratuit d’OVH est donc une excellente option pour chiffrer les communications entre votre site et vos visiteurs.
Quant aux 2 offres de l’éditeur Sectigo, elles permettent d’aller plus loin dans la validation des sites internet, en s’assurant de l’existance physique et légale de l’entreprise. L’avantage de passer par OVH dans ce cas est de centraliser la gestion de vos certificats SSL dans un outil que vous utilisez déjà pour d’autres taches.
Existe-t-il des certificats SSL gratuits ?
La sécurisation des URL avec un protocole HTTPS est devenu la norme, et les sites internet ne peuvent plus passer à côté. En plus de crypter la connexion des utilisateurs, elle améliore le référencement du site. Il existe pour cela des solutions de certifications SSL gratuites, voici un comparatif de 3 d’entre elles :
Let’s Encrypt
Let’s Encrypt est un certificat SSL open source et gratuit. Il a permis d’émettre plus d’un million de certificats SSL depuis sa création. Il s’agit d’un projet de la Fondation Linux dont le but est de populariser et de répandre l’utilisation de la cryptographie sur le web en facilitant l’acquisition et l’installation de certificats SSL.
Let’s Encrypt fournit deux types de certificats. Le SSL individuel standard et le SSL Wildcard, qui couvre non seulement le domaine individuel mais aussi tous ses sous-domaines. Les deux types de certificats Let’s Encrypt sont émis pour une période de 90 jours, et automatiquement renouvelés.
Avantages
- Open source
- Renouvellements des certificats automatiques
Inconvénients
- Prise en main difficile
- Pas de certificat SSL EV
SSL For Free
SSL For Free fait honneur à son nom et propose des certificats SSL gratuits et sans engagement. Son interface est simple et rend facilement accessible ses services à partir de n’importe quel navigateur web. SSL For Free utilise l’API Cryptographie Web et génère une clé privée pour créer le certificat.
Vous pouvez utiliser SSL For Free pour générer des certificats de 90 jours. Son principal défaut est que vous devrez continuer à renouveler le certificat manuellement. C’est l’une des raisons pour lesquelles le service est gratuit. Heureusement, le processus est très simple et ne vous prendra que quelques minutes tous les 3 mois. Le plus difficile est de ne pas oublier !
Avantages
- Tutoriels disponibles
- Interface claire
Inconvénients
- Pas de renouvellement automatique
- Validation de domaine uniquement
ZeroSSL
ZeroSSL est une alternative intelligente et authentique à Let’s Encrypt, offrant des certificats SSL entièrement gratuits, une interface utilisateur simple et une API pour les développeurs. Il existe également un support pour le protocole ACME qui vérifie le contrôle et la propriété d’un domaine.
ZeroSSL démarre comme une sous-autorité (SA) en collaboration avec une autorité de certification existante.
Avantages
- Prise en main facile
- Gestion des renouvellements automatiques
- Tableaux de bord ergonomique
Inconvénients
- 3 plans gratuits seulement
En bref, la sécurité des sites web est devenue nécessaire, surtout depuis que les navigateurs communiquent sur le niveau de sécurité du site visité. Le certificat SSL permet donc de rassurer vos internautes, qu’il s’agisse de particuliers ou de sociétés. Prenez le temps de réfléchir à vos besoins pour déterminer quel type de certificat SSL vous sera le plus adapté.